Daje logi:
gmer
http://wklej.org/id/322538/
otl
http://wklej.org/id/322542/
otl extras:
http://wklej.org/id/322541/
ps. przed skanowaniem usunelem te programy emulujace napedy i plik .sys, ktory tez pisaliscie zbey usunac.
Aktualizacje na programosy.pl:
Cyberduck • R-Drive Image • Qimage • Chromium • Kaspersky Rescue Disk • Vim • Free YouTube to MP3 Converter • Free YouTube Download • AIMP Skin Editor
-
- Ogłoszenie:
Herss.exe
2 posty(ów) • Strona 1 z 1
Herss.exe
przez Bosky 25 Kwi 2010, 18:12
Daje logi:
gmer
otl
otl extras:
ps. przed skanowaniem usunelem te programy emulujace napedy i plik .sys, ktory tez pisaliscie zbey usunac.
- Bosky
- ~user
- Posty: 74
- Dołączenie: 08 Mar 2009, 00:01
- Pochwały: 1
Herss.exe
przez ordynat 25 Kwi 2010, 19:14
Masz także CONFICKER'a. Wprawdzie OTL go nie pokazał, ale w logu GMER jest widoczny. (jako Rootkit zwiżazany z "NetSvcs")
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Ponieważ OTL nie pokazał CONFICKER'a, więc istnieje obawa, że go także nie będzie potrafił usunąć, więc dodatkowo:
Uruchom GMER>>rxism06u.exe
Rozwiń>>>zakładka CMD>>zaznacz CMD ---w górne czarne pole wklej to:
Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.
Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".
Pokaż nowy log OTL.txt oraz raport z usuwania.
Nowy log z OTL zrób na dodatkowym ustawieniu:
W pole Custom Scans/Fixes wklej:
i dopiero wtedy kliknij "Run Scan".
Log z GMER też oczywiście daj.
.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL
MOD - [2010-04-25 17:22:43 | 000,080,384 | RHS- | M] () -- D:\Documents and Settings\Oskarrr\Ustawienia lokalne\Temp\cvasds0.dll
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - D:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\S-1-5-21-583907252-308236825-839522115-1003\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - D:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKU\S-1-5-21-583907252-308236825-839522115-1003..\Run: [cdoosoft] D:\Documents and Settings\Oskarrr\Ustawienia lokalne\Temp\herss.exe ()
O4 - HKU\S-1-5-21-583907252-308236825-839522115-1003..\Run: [nod32] D:\DOCUME~1\Oskarrr\USTAWI~1\Temp\nodqq.exe File not found
O32 - AutoRun File - [2010-04-25 18:01:57 | 000,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-04-25 18:01:58 | 000,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-04-25 18:02:00 | 000,000,057 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{190b43d4-2869-11df-be5c-0013d365da57}\Shell\AutoRun\command - "" = J:\ji83j.exe -- File not found
O33 - MountPoints2\{190b43d4-2869-11df-be5c-0013d365da57}\Shell\open\Command - "" = J:\ji83j.exe -- File not found
O33 - MountPoints2\{9ec324f4-4ca2-11df-bed5-0018c03a4f9a}\Shell\AutoRun\command - "" = J:\ji83j.exe -- File not found
O33 - MountPoints2\{9ec324f4-4ca2-11df-bed5-0018c03a4f9a}\Shell\open\Command - "" = J:\ji83j.exe -- File not found
O33 - MountPoints2\{be0b49d3-2f46-11df-be70-0018c03a4f9a}\Shell\AutoRun\command - "" = J:\ji83j.exe -- File not found
O33 - MountPoints2\{be0b49d3-2f46-11df-be70-0018c03a4f9a}\Shell\open\Command - "" = J:\ji83j.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
[2010-04-24 09:48:12 | 000,128,000 | RHS- | M] () -- D:\twhvna.exe
[2010-04-23 08:02:06 | 000,128,512 | RHS- | M] () -- D:\vgyn6ewc.exe
NetSvcs: dmhnbld - D:\WINDOWS\system32\jnzkqsnu.dll ()
:Files
D:\WINDOWS\system32\jnzkqsnu.dll
D:\Program Files\DAEMON Tools Toolbar
C:\twhvna.exe
E:\twhvna.exe
C:\vgyn6ewc.exe
E:\vgyn6ewc.exe
:Services
dmhnbld
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmhnbld]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmhnbld]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
:Commands
[emptytemp]
[Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Ponieważ OTL nie pokazał CONFICKER'a, więc istnieje obawa, że go także nie będzie potrafił usunąć, więc dodatkowo:
Uruchom GMER>>rxism06u.exe
Rozwiń>>>zakładka CMD>>zaznacz CMD ---w górne czarne pole wklej to:
rxism06u -del service dmhnbld -
rxism06u -del file D:\WINDOWS\system32\jnzkqsnu.dll
rxism06u -reboot
Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.
Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".
Pokaż nowy log OTL.txt oraz raport z usuwania.
Nowy log z OTL zrób na dodatkowym ustawieniu:
W pole Custom Scans/Fixes wklej:
netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
i dopiero wtedy kliknij "Run Scan".
Log z GMER też oczywiście daj.
.
- ordynat
- ~user
- Posty: 4765
- Dołączenie: 02 Kwi 2010, 11:18
- Pochwały: 866
2 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 29 gości